Локальные объекты групповой политики Windows Server 2008

Возможность конфигурирования нескольких LGPO полезна на компьютерах, которые используются изолированно, а не в составе домена. Благодаря им вам более не придется перед выполнением административных функций явно отключать или удалять параметры, влияющие на вашу способность управлять компьютером. Вместо этого вы просто реализуете один LGPO для администраторов и еще один для остальных пользователей. В домене применять несколько LGPO, вероятно, не стоит, поскольку к большинству компьютеров и так применяется несколько GPO. Добавив к их и без того сложному сочетанию еще и несколько локальных объектов, вы рискуете окончательно запутаться.

В Windows Server 2008 есть три уровня локальных объектов групповой политики:

• Локальная групповая политика Это единственный LGPO, позволяющий применять как параметры пользователя, так и параметры компьютера ко всем пользователям компьютера.

• Локальная групповая политика для администраторов и для не администраторов. Эта групповая политика содержит только параметры пользователя. Применение этой политики зависит от того, входит ли текущая учетная запись в группу локальных администраторов.

• Локальная групповая политика для конкретного пользователя Эта групповая политика содержит только параметры пользователя и применяется к конкретным пользователям и группам.

Три уровня LGPO обрабатываются в следующем порядке: локальная групповая политика, локальная групповая политика для администраторов и локальная групповая политика для конкретных пользователей.

Поскольку параметры конфигурации пользователя во всех LGPO одни и те же, параметр в одном GPO может конфликтовать с параметром в другом GPO. Windows Server 2008 разрешает конфликты в параметрах, перезаписывая старое значение параметра тем значением, что было считано после него. Используется всегда самое последнее значение. При этом в расчет принимается лишь значение параметра «включен-выключен». Если параметру присвоено значение Не задан (Not Configured), предыдущее значение параметра изменено не будет. Чтобы упростить администрирование в домене, отключите обработку LGPO на компьютерах с Windows Server 2008, включив параметр политики Выключение обработки локальных объектов групповой политики (Turn Off Local Объекты групповой политики (Group Policy Objects) Processing) в доменном GPO. В редакторе политики этот параметр расположен в узле Конфигурация компьютера\Административные шаблоны\Система\Групповая политика (Computer ConfigurationXAdministrative Templates\System\Group Policy).

Оставить комментарий

Лучшие статьи